Manual de Introducción de Microsoft ISA Server 2004

Manual de introducción de Microsoft ISA Server 2004
Contenido
1.0 Introducción
1.1 A quién va dirigido este documento
1.2 Contenido de este documento
2.0 Información general acerca de las características
2.1 Redes múltiples y directiva de servidor de seguridad
2.2 Directiva del sistema
2.3 Integración de VPN
2.4 Usuarios y autenticación
2.5 Caché
2.6 Exportación e importación de configuración
3.0 Procedimiento de instalación
3.1 Requisitos de instalación
3.2 Requisitos de red
3.4 Configuración predeterminada
3.5 Formas nuevas de realizar tareas habituales
3.6 Equipos servidor ISA con un único adaptador de red
4.0 Tutorial acerca de las características
4.1 Escenario 1: exportar una configuración
4.2 Escenario 2: obtener acceso a Internet desde la red interna
4.3 Escenario 3: crear y configurar un conjunto de equipos restringido
4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red
4.5 Escenario 5: publicar un servidor Web en la red perimetra
4.6 Escenario 6: publicar un servidor Web en la red interna
4.7 Escenario 7: configurar redes privadas virtuales
4.8 Escenario 8: modificar la directiva del sistema
4.9 Escenario 9: importar una configuración
1.0 Introducción
Microsoft® Internet Security and Acceleration (ISA) Server 2004 presenta la compatibilidad con varias redes, una configuración sencilla y muy
integrada de las redes privadas virtuales, modelos de usuario y de autenticación ampliados y ampliables, y mejoras en las características de
administración, incluidas la exportación e importación de configuraciones.
1.1 A quién va dirigido este documento
Lea este documento si:

● Utiliza ISA Server 2000 y desea obtener información sobre lo nuevo de ISA Server 2004.
file:///E|/isastart.htm (1 of 24)12/08/2005 08:43:46 a.m.

● Utiliza otro servidor de seguridad y es la primera vez que usa el servidor ISA.
● Necesita una introducción a las características de ISA Server 2004.
● Desea configurar el servidor ISA en un laboratorio y utiliza un tutorial guiado para aprender a implementar el servidor ISA en su
compañía. Para obtener detalles, vea el tutorial acerca de las características.
Después de leer este manual, y para obtener más información acerca de las características y la funcionalidad del servidor ISA, consulte la Ayuda
del servidor ISA.
1.2 Contenido de este documento
Este documento incluye información general acerca de las nuevas características del producto de esta versión de ISA Server 2004. Asimismo,
proporciona instrucciones de instalación. Y lo que es más importante, incluye tutoriales cuyos ejemplos puede probar en un entorno de
laboratorio para familiarizarse con las características del producto. La mejor forma de comprender estas características es usarlas; por lo tanto,
le aconsejamos que configure un laboratorio y ponga en práctica el contenido de los tutoriales incluidos. Para obtener detalles, vea el tutorial
acerca de las características.
La mayor parte de la información contenida en este documento también está disponible en formato electrónico, integrado en la Ayuda en
pantalla del servidor ISA.
Volver a Contenido
2.0 Información general acerca de las características
La siguiente tabla muestra las características nuevas y mejoradas de ISA Server 2004. Se proporcionan más detalles en las siguientes secciones.
Redes múltiples
Nueva o mejorada Característica Descripción
Nuevo Configuración de redes múltiples Puede configurar una o varias redes relacionadas entre sí mediante relaciones
distintas. Las directivas de acceso se definen en relación con las redes y no
necesariamente en relación con una red interna dada. Mientras que en ISA
Server 2000 se inspeccionaba todo el tráfico relativo a la tabla de direcciones
locales (LAT, Local Address Table), que sólo incluía intervalos de direcciones de la
red interna, ISA Server 2004 amplía las características del servidor de seguridad y
de la seguridad, y ahora se aplican también al tráfico entre cualquier red.
Nuevo Directivas únicas por red Las nuevas características de múltiples redes del servidor ISA permiten proteger la
red contra amenazas internas y externas a la seguridad, ya que limitan la
comunicación entre clientes, incluso dentro de la propia organización. Las
funciones de redes múltiples admiten entornos complejos de red perimetral
(conocida también como DMZ, zona desmilitarizada o subred protegida), lo que
permite configurar la forma en que los clientes de redes diferentes tienen acceso a
la red perimetral.
Nuevo Inspección completa de todo el tráfico Puede examinar los datos que pasan por el servidor de seguridad respecto a su
protocolo y al estado de la conexión, independientemente del origen o destino.
Nuevo NAT y relaciones de redes enrutadas El servidor ISA se puede utilizar para definir las relaciones entre redes, en función
del tipo de acceso y de comunicación permitido entre las redes. En algunos casos,
tal vez desee una comunicación más segura y menos transparente entre las redes.
Para estos entornos puede definir una relación NAT (traducción de direcciones de
red). En otros, quizá desee enrutar el tráfico a través del servidor ISA. En estos
casos, puede definir una relación de enrutamiento.
Nuevo Plantillas de red El servidor ISA incluye plantillas de red, que se corresponden con topologías de red
comunes. Puede utilizarlas para configurar la directiva de servidor de seguridad del
tráfico entre redes. Al aplicar una plantilla de red, el servidor ISA crea el conjunto
necesario de reglas para permitir el tráfico, según la directiva especificada.
Redes privadas virtuales

Mejorada Administración de VPN El servidor ISA incluye un mecanismo altamente integrado de red
privada virtual (VPN, Virtual Private Network). Puede administrar las
conexiones VPN mediante la administración del servidor ISA como lo
haría con redes y clientes conectados físicamente. Cuenta con la
funcionalidad completa del servidor ISA disponible para conexiones VPN,
incluidas la supervisión, el registro y la administración de sesiones.
Nuevo Inspección completa de VPN Los clientes de VPN se configuran como una red independiente. Por
consiguiente, puede crear directivas diferentes para los clientes de VPN.
El motor de reglas comprueba de forma discriminatoria las peticiones de
los clientes de VPN. Para ello, realiza una inspección del estado de
dichas peticiones y abre dinámicamente las conexiones según la
directiva de acceso.

Nuevo Interoperabilidad con soluciones VPN de terceros Gracias a la compatibilidad con el sistema de seguridad de Protocolo
Internet (IPSec, Internet Protocol Security) estándar de la industria, ISA
Server 2004 se puede conectar a entornos con infraestructuras VPN
existentes de otros proveedores, incluidos los que emplean las
configuraciones del modo de túnel IPSec para conexiones de sitio a sitio.
Nuevo Control de cuarentena El servidor ISA puede poner en cuarentena a determinados clientes
VPN, pasándolos a la red de clientes VPN en cuarentena, hasta que se
compruebe que cumplen con los requisitos de seguridad corporativos.
Seguridad y servidor de seguridad

Nuevo Amplia compatibilidad con protocolos ISA Server 2004 amplía la funcionalidad de ISA Server 2000, al permitir controlar el
acceso y el uso de cualquier protocolo, incluidos los protocolos de nivel de IP. Puede
utilizar aplicaciones como ping y tracert, y crear conexiones VPN mediante el
Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol). Además,
el tráfico de IPSec (seguridad del protocolo Internet) se puede habilitar a través del
servidor ISA.
Mejorada Autenticación Los usuarios se pueden autenticar con los tipos de autenticación integrados de
Microsoft Windows® o del Servicio de usuario de marcado con autenticación remota
(RADIUS), o con otros espacios de nombres. Las reglas se pueden aplicar a los
usuarios o grupos de usuarios de cualquier espacio de nombres. Los otros
fabricantes pueden utilizar el kit de desarrollo de software para ampliar estos tipos
de autenticación integrados y ofrecer mecanismos adicionales de autenticación.
Mejorada Publicación Con el servidor ISA, puede colocar servidores detrás del servidor de seguridad,
tanto en la red corporativa como en las redes perimetrales, y publicar sus servicios
de forma segura.
Caché
Mejorada Reglas de caché Con el mecanismo centralizado de reglas de caché del servidor ISA, puede configurar la forma en que los
objetos almacenados en la caché se recuperan y se sirven desde ésta.
Administración
Mejorada Administración El servidor ISA incluye características de administración nuevas que facilitan la protección de las
redes. Las características nuevas de la interfaz de usuario incluyen: un panel de tareas, una ficha
Ayuda, un asistente de introducción mejorado y una nueva apariencia para el editor de directivas
del servidor de seguridad.
Nuevo Exportar e importar ISA Server introduce la capacidad de exportar e importar información de la configuración. Esta
característica se puede utilizar para guardar los parámetros de configuración en un archivo .xml
y, seguidamente, exportar la información de configuración del archivo a otro servidor; de esta
forma, se permite la replicación sencilla de las configuraciones del servidor de seguridad para
implementaciones multisitio.
Nuevo Escritorio digital En una sola vista se muestra una versión resumida de la información clave de supervisión. Si
detecta un problema, puede abrir vistas de supervisión detallada para obtener más información.
Nuevo Visor de registro El visor de registro del servidor ISA muestra los registros del servidor de seguridad en tiempo
real. Puede mostrar registros en los modos de tiempo real en línea o de revisión del histórico.
Puede aplicar filtros a los campos del registro con el fin de identificar entradas específicas.
Mejorada Generación de informes Puede generar informes repetitivos o únicos sobre el uso de Web, de aplicaciones, patrones de
tráfico de red y seguridad.
Volver a Contenido
2.1 Redes múltiples y directiva de servidor de seguridad
Anteriormente, el concepto de una red interna significaba que todos los equipos estaban ubicados en su organización. La red externa estaba
formada por todos los equipos situados fuera de la organización, a los que generalmente se tenía acceso a través de Internet. El punto de vista
actual de red incluye a los usuarios que tienen acceso a sus redes corporativas mediante equipos portátiles, que se convierten así en parte
virtual de las distintas redes. Las sucursales se conectan a las sedes centrales y prefieren utilizar los recursos de éstas como si formaran parte
de la red. Muchas organizaciones ponen a disposición pública los servidores de la red corporativa, sobre todo los servidores web, pero desean
hacerlo separando esos servidores en una red distinta. La funcionalidad de redes múltiples del servidor ISA permite proteger estos entornos de
redes más complejos. La compatibilidad con redes múltiples afecta a la mayoría de las características de servidor de seguridad del servidor ISA.
Puede utilizar las nuevas características de redes múltiples del servidor ISA para proteger la red contra amenazas internas y externas a la
seguridad, ya que limitan la comunicación entre clientes, incluso dentro de la propia organización. Puede especificar relaciones entre las diversas
redes definidas en el servidor ISA y determinar, de este modo, la forma en que se comunican los equipos de cada red entre sí mediante el
servidor ISA. Asimismo puede agrupar equipos en objetos de red del servidor ISA como conjuntos de equipos e intervalos de direcciones, y
configurar una directiva de acceso específica para cada objeto de red.

En un entorno de publicación normal, quizá prefiera aislar los servidores publicados en su propia red, como una red perimetral. La funcionalidad
de redes múltiples del servidor ISA es compatible con tal entorno, para que pueda configurar la forma en que tienen acceso los clientes de la red
corporativa y de Internet a la red perimetral. Puede configurar las relaciones entre las diversas redes y definir directivas de acceso diferentes
entre cada red. La configuración de la topología de una red perimetral se facilita mediante las plantillas de red y los asistentes para plantillas de
red del servidor ISA.
En la siguiente ilustración se muestra un entorno de redes múltiples.
En la figura, el equipo servidor ISA se conecta entre Internet (red externa), la red corporativa (red interna) y la red perimetral. Los tres
adaptadores de red se encuentran en el equipo servidor ISA y cada uno de ellos está conectado a una de las redes. Mediante el servidor ISA,
puede configurar las distintas directivas de acceso entre cualquier par de redes. Puede determinar si se comunican los equipos de cada una de
las redes entre sí y cómo lo hacen. Cada red está aislada de la otra y sólo se puede tener acceso a ella cuando se configuren las reglas que
permitan la comunicación.
Para implementar los entornos de redes múltiples, el servidor ISA presenta los siguientes conceptos:
● Redes. Desde la perspectiva del servidor ISA, una red es un elemento de regla que puede contener uno o varios intervalos de direcciones
IP y de dominios. Las redes incluyen uno o varios equipos, que siempre se corresponden con un adaptador de red específico en el equipo
servidor ISA. Puede aplicar reglas a una o varias redes.
● Objetos de red. Después de crear las redes, puede agruparlas en conjuntos de objetos de red: subredes, intervalos de direcciones,
conjuntos de equipos, conjuntos de direcciones URL o conjuntos de nombres de dominio. Las reglas se pueden aplicar a redes o a objetos
de red.
● Reglas de red. Puede configurar reglas de red para definir y describir una topología de red. Las reglas de red determinan si existe
conectividad entre dos redes, así como el tipo de conectividad que se permitirá. Las redes se pueden conectar de una de estas formas:
traducción de direcciones de red (NAT) o enrutamiento.
2.1.1 Redes y objetos de red

Las redes incluyen uno o varios equipos, que normalmente se corresponden con una red física, definida por los intervalos de las direcciones IP.
Los objetos de red son cualquier grupo de equipos definidos, por ejemplo, redes sencillas, conjuntos de redes de dos o más redes, o conjuntos
de equipos para los que desea crear reglas de acceso distintas. Puede aplicar reglas a una o varias redes u objetos de red, o a todas las
direcciones excepto las de la red u objeto de red especificados. Cada adaptador de red del equipo se puede asignar a una sola red. Puede
establecer los tipos de clientes de servidor ISA admitidos en un red en concreto: servidor de seguridad, proxy Web o ambos.
El servidor ISA se suministra con una configuración previa que incluye las siguientes redes:
● Externa. Esta red incluye todos los equipos (direcciones IP) que no están asociados con ninguna otra red interna. La red externa
predeterminada no se puede eliminar.
● Interna. Después de la instalación, esta red incluye todos los equipos (direcciones IP) asociados con la tarjeta de direcciones de red
interna del equipo servidor ISA.
● Host local. Esta red representa el equipo servidor ISA. La red del host local no se puede modificar ni eliminar.
● Clientes de VPN en cuarentena. Esta red incluye las direcciones de los clientes de VPN que aún no han sido aprobados para tener
acceso a la red corporativa. Normalmente, los equipos de esta red tienen acceso limitado a la red corporativa.
● Clientes de VPN. Esta red contiene las direcciones de los clientes de VPN actualmente conectados. Se actualiza dinámicamente a medida
que los clientes de VPN se conectan o desconectan del equipo servidor ISA. La red de clientes de VPN no se puede eliminar.
Las redes del host local, de clientes de VPN y externas son redes integradas, que el usuario no puede eliminar ni crear. La red interna es una red
predefinida, que se crea durante el proceso de instalación y se puede modificar o eliminar.
Los conjuntos de redes se pueden configurar para incluir redes específicas. Como alternativa, estos conjuntos se pueden definir para que no
incluyan (es decir, excluyan) redes específicas.
Estas reglas se pueden aplicar a redes, a conjuntos de redes o a objetos de red:
● Reglas de red

● Reglas de acceso
● Reglas de publicación
En lo que respecta a las reglas de acceso, especifique una red de destino y una de origen a las que se va a aplicar la regla. La red de origen
indica las redes que tienen acceso o no a las redes de destino especificadas. Por lo que respecta a las reglas de publicación, especifique una red
de origen con acceso a un equipo específico.
2.1.2 Reglas de red

Las reglas de red definen y describen una topología de red. Estas reglas determinan si existe conectividad entre dos redes, así como el tipo de
conectividad definido. Las redes se pueden conectar de una de estas formas:
● Traducción de direcciones de red (NAT). Al especificar este tipo de conexión, el servidor ISA reemplaza la dirección IP del cliente en la
red de origen por su propia dirección IP. Las reglas de red NAT se pueden utilizar al definir una relación entre las redes interna y externa.
● Ruta. Al especificar este tipo de conexión, las peticiones de clientes de la red de origen se retransmiten directamente a la red de destino.
La dirección de cliente de origen se incluye en la petición. Una regla de red de enrutamiento se puede utilizar al publicar un servidor
ubicado en la red perimetral.
Las relaciones de redes de enrutamiento son bidireccionales. Si una relación de enrutamiento se define desde la red A a la B, también existe una
relación de enrutamiento desde la red B a la A. A la inversa, las relaciones NAT son únicas y unidireccionales. Si se define una relación NAT
desde la red A a la B, no se puede definir ninguna relación de red desde B a A. Puede crear una regla de red que defina ambas relaciones, pero
el servidor ISA omitirá la segunda regla de red en la lista de reglas ordenadas.
Durante el proceso de instalación, se crean las siguientes reglas predeterminadas:
● Acceso a host local. Esta regla define una relación de enrutamiento entre la red del host local y el resto de las redes.
● De clientes de VPN hacia la red interna. Esta regla define una relación de enrutamiento entre las dos redes de clientes de VPN
(clientes de VPN y clientes de VPN en cuarentena) y la red interna.
● Acceso a Internet. Esta regla define una relación NAT entre la red interna y la externa.
Las reglas de red se procesan en orden y para cada red.

Volver a Contenido
2.2 Directiva del sistema
Al instalar el servidor ISA se crea una directiva del sistema predeterminada. La directiva del sistema define las reglas de acceso entre el equipo
servidor ISA y las redes conectadas a él para el acceso de recursos específicos.
Nota: Todas las categorías de la directiva del sistema están habilitadas de forma predeterminada al instalar el servidor ISA y la directiva se
aplica específicamente a la red interna. Puede modificar la configuración de la directiva del sistema. Se recomienda deshabilitar las categorías de
esta directiva que no sean necesarias en la configuración del servidor ISA.
La directiva del sistema contiene las siguientes categorías:
● Servicios de red
● Servicios de autenticación
● Administración remota
● Cliente del servidor de seguridad
● Servicios de diagnóstico
● Registro
● Supervisión remota
● Varios
Al habilitar o deshabilitar un grupo de configuración de la directiva del sistema o un elemento de un grupo de configuración, el servidor ISA
habilita o deshabilita las reglas de acceso de la directiva del sistema.
Volver a Contenido
2.3 Integración de VPN
El servidor ISA le ayuda a configurar y proteger una red privada virtual (VPN). Una red VPN es un conjunto de equipos conectados a la red
corporativa de forma segura desde ubicaciones remotas de Internet. Con una red privada virtual, puede enviar datos entre dos equipos a través
de una red compartida o pública de forma que emula un vínculo privado punto a punto.
Las conexiones VPN permiten que los usuarios que trabajan en casa o que están en otros sitios remotos puedan obtener conexión de acceso
remoto al servidor de una organización mediante la infraestructura que proporciona una red pública como Internet. Desde la perspectiva del
usuario, la red privada virtual es una conexión punto a punto entre el equipo (el cliente de VPN) y el servidor de la organización (el equipo

servidor ISA). La infraestructura exacta de la red compartida o pública es irrelevante, ya que parece como si los datos se enviaran a través de
un vínculo privado dedicado.
Las conexiones VPN también permiten que las organizaciones dispongan de conexiones enrutadas con otras organizaciones a través de una red
pública como Internet, a la vez que mantienen una comunicación segura; por ejemplo, entre las oficinas que están separadas geográficamente.
Una conexión VPN enrutada a través de Internet funciona lógicamente como vínculo de red de área extensa (WAN, Wide Area Network) dedicada.
Hay dos tipos de conexiones VPN:
● Conexión VPN de acceso remoto. Un cliente realiza una conexión VPN de acceso remoto que se conecta a una red privada. El servidor
ISA proporciona acceso a toda la red a la que está conectado el servidor VPN.
● Conexiones VPN de sitio a sitio. Un servidor VPN realiza una conexión VPN de sitio a sitio que conecta dos partes de una red privada
de forma segura. El servidor ISA proporciona una conexión a la red a la que está conectado el equipo servidor ISA.
Mediante el uso del equipo servidor ISA como servidor VPN, se beneficia de la protección de la red corporativa contra conexiones VPN
malintencionadas. Puesto que el servidor VPN está integrado en la funcionalidad del servidor de seguridad, los usuarios de VPN están sujetos a
la directiva de acceso del servidor ISA definida para la red de clientes de VPN preconfigurada. Todos los clientes de VPN pertenecen a la red de
clientes de VPN y tienen acceso a los recursos de la red interna de acuerdo con una directiva predefinida.
Aunque los usuarios de VPN forman parte virtualmente del intervalo de direcciones de la red interna, no están sujetos necesariamente a la
directiva de acceso de esta red, y se puede configurar específicamente en el servidor ISA. Se pueden configurar reglas especiales para permitir
el acceso a los usuarios a los recursos de la red.
Puesto que se puede configurar una directiva de acceso para la red de clientes de VPN, estos clientes están sujetos a los mismos mecanismos de
inspección completa que cualquier cliente que se comunica entre redes mediante el servidor ISA.
Todas las conexiones VPN al equipo servidor ISA están conectadas al registro del servidor de seguridad. De esta forma puede auditar las
conexiones VPN.
Al configurar la red VPN, puede reservar un grupo de direcciones IP estáticas para los equipos de los usuarios de VPN. Cuando un cliente de VPN
se conecta a la red local, se le asigna una dirección IP de este grupo de direcciones. Como alternativa, quizá prefiera tener direcciones IP
asignadas dinámicamente a los clientes de VPN, mediante un servidor de protocolo de configuración dinámica de host (DHCP, Dynamic Host
Configuration Protocol). La dirección IP se agrega a la red de clientes de VPN.
Además, puede habilitar el modo de cuarentena para la red VPN. De esta forma, se asegura que se comprueba el cumplimiento de la directiva
de software corporativa por parte de un cliente antes de que se pueda unir a la red de clientes de VPN, normalmente con acceso ilimitado a la
red interna. El control de cuarentena proporciona acceso posible a la red a los clientes de (VPN) remotos y restringe su acceso a un modo de
cuarentena antes de permitirles tener acceso a la red realmente. Una vez que la configuración del equipo cliente cumple o se tiene intención de
que cumpla las restricciones de cuarentena específicas de la organización, se aplica la directiva estándar de VPN a la conexión en función del tipo
de cuarentena especificado. Por ejemplo, las restricciones de la cuarentena pueden especificar que determinado software antivirus se instale y
se habilite mientras está conectado a la red. Aunque el control de cuarentena no ofrece protección contra los intrusos, sí puede comprobar las
configuraciones de los equipos de usuarios autorizados y, en caso necesario, corregirlas antes de que puedan tener acceso a la red. También
está disponible una opción de temporizador, que se puede usar para especificar un intervalo con el fin de finalizar la conexión en caso de que el
cliente no cumpla los requisitos de configuración. Para obtener más información, vea el documento Clientes de VPN móviles en ISA Server 2004.
Puede crear dos directivas distintas para cada una de las redes de clientes de VPN:
● Red de clientes de VPN en cuarentena. Restrinja el acceso a los servidores desde los que el cliente puede descargar las
actualizaciones necesarias para cumplir con la directiva de software.
● Red de clientes de VPN. Puede permitir el acceso a todos los recursos corporativos (red interna) o restringirlo cuando lo considere
oportuno. La red de clientes de VPN tendrá una relación NAT con la red externa. Se configurará una regla de red que defina la relación
NAT entre las redes VPN y externa.
Volver a Contenido
2.4 Usuarios y autenticación
Con la nueva funcionalidad del servidor ISA, puede aplicar la directiva de acceso a los usuarios de Windows o a usuarios autenticados mediante
los distintos mecanismos de autenticación (espacios de nombres), como el servicio de usuario de marcado con autenticación remota (RADIUS,
Remote Authentication Dial-In User Service). El servidor ISA admite los mecanismos de autenticación siguientes:
● Clientes proxy Web. Autenticación básica, mediante los servicios de directorio de Active Directory® o RADIUS, autenticación implícita,
autenticación Windows integrada o certificados.
● Clientes de VPN. Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol), Protocolo de
autenticación por desafío mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol), MS-CHAP versión 2,
Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) y RADIUS.
● Clientes del servidor de seguridad. Kerberos o NTLM.
El servidor ISA presenta un mecanismo de extensibilidad de autenticación que permite que los proveedores de terceros implementen esquemas
de autenticación adicionales.
Puede utilizar el servidor ISA para aplicar las directivas de acceso o de publicación a usuarios o direcciones IP específicos. Los usuarios se
pueden agrupar en conjuntos de usuarios y se pueden aplicar las reglas a los conjuntos de usuarios. Al crear un conjunto de usuarios, puede
agregar los usuarios de Windows, RADIUS y SecurID al conjunto. Después puede aplicar las reglas de acceso a este conjunto.
Volver a Contenido

2.5 Caché
Mediante las reglas de caché, puede especificar los tipos de contenido almacenados en caché, así como la forma en que se atienden los objetos
desde ella. En función de las necesidades de la organización, las reglas de caché se pueden aplicar al contenido de todos los sitios o al que
procede de sitios específicos, así como a todos los tipos de contenidos o a tipos específicos. Además, se puede limitar la cantidad de tiempo que
los objetos se consideran válidos y la forma en que las reglas de caché controlan los objetos caducados.
De forma predeterminada, un objeto se almacena en la caché sólo si sus encabezados del origen y de la petición así lo indican. Sin embargo,
puede especificar los objetos que se almacenan en función de las siguientes opciones:
● Nunca, ningún contenido se almacenará en caché. Esta opción deshabilita el almacenamiento en caché para esta regla.
● Si los encabezados del origen y la petición indican que debe almacenarse. Un objeto se almacena en caché si así lo indican los
encabezados.
Si selecciona la segunda opción, también puede elegir almacenar en caché lo siguiente:

● Contenido dinámico. Si el contenido es dinámico, los objetos se almacenarán en caché, independientemente de los encabezados de
respuesta.
● Contenido para exploración sin conexión. Incluye las respuestas 302 y 307.
● Contenido que requiere autenticación de usuario para recuperarse. Se requiere la autenticación del usuario.
Mediante la configuración de las reglas de caché, puede definir si se habilitará el almacenamiento en caché para las respuestas del protocolo de
transferencia de hipertexto (HTTP, Hypertext Transfer Protocol), del protocolo de transferencia de archivos (FTP, File Transfer Protocol) y de la
capa de sockets seguros (SSL, Secure Sockets Layer). Además, puede configurar la regla de caché para limitar el contenido almacenado en
caché en función del tamaño del archivo.
Los objetos HTTP y FTP almacenados en caché caducan en función de la configuración del periodo de vida (TTL, Time to Live). Por lo que
respecta a los objetos HTTP, la caducidad se configura en función del TTL, definido en el encabezado de respuesta, y de los límites de TTL
definidos en la regla de caché. Los límites de TTL se calculan como porcentaje de edad de contenido, que es la cantidad de tiempo transcurrido
desde la creación o modificación de un objeto. Los objetos FTP caducan según el TTL definido para los objetos FTP en la regla de caché.
Como parte de la configuración de las reglas de caché, puede definir la forma en que los objetos almacenados en caché se recuperan y se
atienden desde ésta. Antes de que el servidor ISA determine cómo se enrutará la petición, como se define en las reglas de enrutamiento de red,
el servidor ISA comprueba si existe una copia válida del objeto en la caché. Un objeto se considera válido si su periodo TTL no ha caducado,
como se especifica en las propiedades de almacenamiento en caché de HTTP o en el propio objeto. En función de la configuración de las
propiedades de caché de la regla de enrutamiento, el servidor ISA recuperará el objeto de la caché. Puede configurar el servidor ISA para que
realice una de las acciones siguientes:
● Recuperar un objeto de la caché, sólo si el objeto sigue allí. Si un objeto no es válido, la petición se enruta al servidor y se recupera.
● Recuperar un objeto de la caché, independientemente de que siga siendo válido o no. Si no hay ninguna versión del objeto en la caché, la
petición se enruta al servidor.
● No enrutar nunca la petición. Si no se encuentra ninguna versión del objeto en la caché, se devuelve una página de error.
Las reglas de caché tienen un orden, y la regla de caché predeterminada es la última que se procesa. Para cada nueva conexión, el equipo
servidor ISA procesa las reglas de caché por orden (es decir, la primera regla es la que se procesa primero). Si la petición cumple las
condiciones especificadas por la regla, la petición se enruta, redirige y almacena en la caché según sea necesario. De lo contrario, se procesa la
regla siguiente. Este proceso continúa hasta que se procesa y aplica a la petición la última regla predeterminada.
Al instalar el servidor ISA, éste configura una regla de caché predeterminada. La regla predeterminada se configura inicialmente de forma que
sólo se pueden recuperar de la caché del servidor ISA los objetos que sean válidos. Si el objeto de la caché no es válido, se recuperará
directamente de Internet. No es posible modificar la forma en que la regla de caché predeterminada recupera los objetos.
Volver a Contenido
2.6 Exportación e importación de configuración
El servidor ISA incluye una característica de exportación e importación que puede utilizar para guardar los parámetros de configuración del
servidor en un archivo .xml y, a continuación, importar la información desde el archivo a otro servidor. Puede guardar la configuración en
cualquier directorio y con cualquier nombre de archivo para el que tenga permisos de escritura.
Al exportar una configuración, se exporta toda la información de configuración general de forma predeterminada. Se incluyen las reglas de
directivas de acceso y de publicación, los elementos de regla, la configuración de alertas, la configuración de la caché y las propiedades del
servidor ISA. Se puede exportar parte de la información de configuración específica del servidor, si lo selecciona así. Además, puede decidir
exportar la configuración de permisos de usuario y la información confidencial, como las contraseñas de usuario. Se cifra la información
confidencial incluida en el archivo exportado. Al importar el archivo, se requiere una contraseña para abrir y descifrar esta información. Esta
contraseña se establece durante el proceso de exportación.
Al exportar un objeto específico, se exportan los siguientes elementos:
● El objeto especificado, incluidos todos los valores de propiedades.
● Todos los objetos descendientes contenidos en la jerarquía, empezando por el objeto especificado.
Por ejemplo, si exporta una regla de acceso, también se exportan los conjuntos de objetos y de usuarios de la red utilizados en la creación de

dicha regla, y se importarán al importar posteriormente la regla.

Volver a Contenido
Antes de instalar este software, consulte las notas sobre la versión incluidas en el CD.
Antes de instalar el servidor ISA, debe instalar el hardware y configurar el software del equipo en el que se ejecutará este servidor.
3.1 Requisitos de instalación
Para utilizar el servidor ISA, necesita:

● Un PC con una CPU a 550 MHz o más velocidad, compatible con Pentium II
● El sistema operativo Microsoft Windows Server™ 2003 o Windows® 2000 Server.

Nota: Si instala un servidor ISA en un equipo en el que se ejecute Windows 2000 Server, tenga en cuenta los siguientes requisitos
adicionales: debe estar instalado el Service Pack 4 de Windows 2000 o posterior. Debe estar instalado Internet Explorer 6 o posterior.
Si utiliza el slipstream de Windows 2000 SP4, también debe instalar la revisión (hotfix) especificada en el artículo821887, "Events for
Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager
Runtime," de Microsoft Knowledge Base. Para obtener información actualizada sobre la instalación y los requisitos del sistema para
ISA Server 2004, vea ISA Server Setup and System Requirements.
● 256 megabytes (MB) de memoria
● 150 MB de espacio en disco duro disponible. Este espacio en disco excluye el que pueda necesitar el almacenamiento en caché.
● Un adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna
● Un adaptador de red adicional para cada red conectada al equipo servidor ISA
● Una partición del disco duro local con el formato del sistema de archivos NTFS.
Nota Puede utilizar el servidor ISA en un equipo que sólo tenga un adaptador de red. Normalmente, llevará a cabo esta tarea cuando
otro servidor de seguridad se encuentre en los límites de la red, conectando los recursos de la empresa a Internet. En este escenario
de un adaptador único, el servidor ISA suele proporcionar una capa adicional de protección de filtrado de aplicaciones a los servidores
publicados, o bien para almacenar en caché el contenido de Internet. Para obtener más información, vea Equipos servidor ISA con un
único adaptador de red.
Advertencia: No instale el servidor ISA en un equipo multiprocesador con más de cuatro procesadores.
Volver a Contenido
3.2 Requisitos de red
El servidor ISA necesita tanto un servidor de sistema de nombres de dominio (DNS, Domain Name System) como un servidor de protocolo de
configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol). Recomendamos tener ambos instalados en un equipo en que se
ejecute Windows Server 2003 o Windows 2000 Server en la red interna. Si es necesario, puede alojar los servidores DNS y DHCP en el equipo
servidor ISA.
3.2.1 Servidor DNS

DNS es el protocolo de resolución de nombres para redes TCP/IP, como Internet. Los servidores DNS incluyen la información que permite a los
equipos cliente resolver nombres DNS alfanuméricos y fáciles de recordar para las direcciones IP que los equipos utilizan a fin de comunicarse
entre sí.
3.2.2 Servidor DHCP

Los servidores DHCP administran de forma centralizada las direcciones IP y la información relacionada que proporcionan a los clientes
automáticamente. De esta forma, se puede configurar la red del cliente en un servidor en lugar de hacerlo en cada equipo cliente.
3.2.3 Configuración de los servidores DNS y DHCP

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a
continuación, haga clic en Asistente para configurar su servidor. Deberá ejecutar el asistente dos veces: una para configurar el servidor
DNS y la otra, el servidor DHCP.
Al configurar el servidor para que incluya un servidor DNS, cuando finaliza el Asistente para configurar su servidor, aparece el Asistente para
configurar un servidor DNS. Revise las listas de comprobación DNS, haciendo clic en Listas de comprobación DNS y después siga las
instrucciones del asistente para configurar el servidor DNS.

Al configurar el servidor para que incluya un servidor DHCP, el Asistente para configurar su servidor inicia el Asistente para ámbito nuevo. Siga
las instrucciones de este asistente con el fin de definir el ámbito del servidor DHCP.
Volver a Contenido
Para instalar el software del servidor ISA, siga estos pasos:

1. Inserte el CD del servidor ISA en la unidad de CD o ejecute ISAautorun.exe desde la unidad de red compartida.
2. En Instalación de Microsoft ISA Server, haga clic en Instalar el servidor ISA.
3. Después de que el programa de instalación indique que ha terminado de determinar la configuración del sistema, en la página
Bienvenido, haga clic en Siguiente.
4. Si acepta los términos y condiciones indicados en el contrato de licencia de usuario, haga clic en Acepto los términos del contrato
de licencia, y, a continuación, en Siguiente.
5. Escriba la información del cliente y haga clic en Siguiente.
6. Haga clic en Instalación típica, Instalación completa o Instalación personalizada.

Se pueden instalar cuatro componentes.
❍ Servicios del servidor ISA. Los servicios que constituyen el servidor ISA.
❍ Administración del servidor ISA. La interfaz de usuario de Administración del servidor ISA.
❍ Recurso compartido de instalación de cliente firewall. Ubicación desde la que los equipos cliente pueden instalar el
software de cliente del servidor de seguridad. Se suele instalar en un equipo distinto al del equipo servidor ISA y, por tanto,
no forma parte de la opción Instalación típica. Firewall Client Share se puede instalar en equipos que utilicen Windows
Server 2003, Windows 2000 Server o Windows XP.
❍ Filtro de mensajes. Un componente que se configura para filtrar las palabras clave y los datos adjuntos de los mensajes de
correo electrónico. Este componente se debe instalar en un servidor de protocolo simple de transferencia de correo (SMTP,
Simple Mail Transfer Protocol)
Instalación típica instala los servicios del servidor ISA y la administración del servidor ISA. Instalación completa instala los
cuatro componentes. Instalación personalizada permite seleccionar los componentes que se van a instalar.
7. Haga clic en Siguiente.
8. Configure la red interna. Para ello, siga estos pasos:

a. Haga clic en Agregar.
b. Haga clic en Seleccionar adaptador de red.
c. Seleccione Agregar los intervalos de dirección basados en la Tabla de enrutamiento de Windows.
d. Seleccione uno o varios adaptadores que estén conectados a la red interna. Estas direcciones se incluirán en la red
interna que se define de forma predeterminada para el servidor ISA.
e. Borre la selección de Agregar los siguientes intervalos privados, a menos que desee agregar dichos intervalos a su
red interna.
f. Haga clic en Aceptar. Lea el mensaje del programa de instalación, haga clic en Aceptar, vuelva a hacer clic en Aceptar
para finalizar la configuración de la red interna y, a continuación, haga clic en Siguiente.
9. En la página Configuración de conexión de cliente firewall, indique si desea permitir conexiones no cifradas entre los clientes del
servidor de seguridad y el equipo servidor ISA. El software de cliente del servidor de seguridad de ISA Server 2004 utiliza cifrado, pero
las versiones anteriores no. Además, algunas versiones de Windows no admiten el cifrado. Puede seleccionar las siguientes opciones:
❍ Permitir conexiones de cliente firewall no cifradas. Para los clientes del servidor de seguridad que se ejecuten en
versiones de Windows no compatibles con el cifrado a fin de que se conecten al equipo servidor ISA.
❍ Permitir que los clientes firewall que ejecutan versiones anteriores del software de cliente firewall se conecten
al servidor ISA. Esta opción sólo está disponible si se selecciona la primera opción.
10. En la página Servicios, revise la lista de los servicios que se interrumpirán o deshabilitarán durante la instalación del servidor ISA.
Para continuar con el proceso de instalación, haga clic en Siguiente.
11. Haga clic en Instalar.
12. Una vez completada la instalación, si desea iniciar Administración del servidor ISA de inmediato, active la casilla de verificación
Invocar la administración de ISA Server y haga clic en Finalizar.
Volver a Contenido

3.4 Configuración predeterminada
Una vez realizada la instalación, el servidor ISA utiliza la configuración predeterminada de la tabla siguiente.
Característica Configuración predeterminada

Permisos de usuario Los miembros del grupo Administradores del equipo local pueden configurar la directiva de servidor de seguridad.
Configuración de red Se crean las reglas de red siguientes:
● Acceso a host local. Define una relación de red enrutada entre la red del host local y todas las redes. Se
define una relación de red con el resto de redes. Los servicios que se ejecutan en el equipo servidor ISA
necesitan esta relación.
● Acceso a Internet. Define una relación NAT desde la red interna, la red de clientes de VPN en cuarentena
y la red de clientes de VPN hacia la red externa. El acceso se permite solamente si se configura la directiva
de acceso adecuada.
● De clientes de VPN hacia la red interna. Define una relación de red de ruta entre la red de clientes de
VPN y la red interna. El acceso se permite únicamente si se habilita el acceso de clientes de VPN.
Reglas de acceso Se crean las reglas predeterminadas siguientes:

● Regla predeterminada. Esta regla deniega todo el tráfico entre todas las redes.
● Reglas de directiva del sistema. Se trata de una serie de reglas que permiten que el equipo servidor ISA
interactúe con otros recursos de la red.
Publicación Los clientes externos no pueden obtener acceso a ningún servidor interno.
Encadenamiento de Web Regla predeterminada. Esta regla especifica que se recuperen todas las peticiones de clientes proxy Web
directamente de Internet.
Almacenamiento en caché El tamaño de la caché se establece en 0. Por lo tanto, todo el almacenamiento en caché queda deshabilitado.
Volver a Contenido
3.5 Formas nuevas de realizar tareas habituales
La siguiente tabla muestra las tareas habituales que puede realizar mediante ISA Server 2004 y las compara con la forma de llevarlas a cabo en
ISA Server 2000.
Si desea En ISA Server 2000 En ISA Server 2004

Publicar servidores co-ubicados. Cree un filtro de paquetes estáticos que permita el Cree una regla de publicación de servidor.
acceso al servidor específico ubicado en el equipo
servidor ISA.
Habilite una aplicación en el equipo Cree un filtro de paquetes estáticos que permita el Compruebe que la regla de red predeterminada,
servidor ISA para tener acceso a Internet. acceso al puerto específico del equipo servidor ISA. que se crea durante la instalación, define con
precisión una relación entre la red de host local y
la red externa. A continuación, cree una regla de
acceso que permita el acceso al protocolo
específico.
Configurar la tabla de direcciones locales Haga clic en la tabla de direcciones locales en La red interna reemplaza la tabla de direcciones
(LAT). las propiedades de cualquier servicio. locales y se configura como parte del proceso de
instalación. Posteriormente, puede volver a
configurar la red interna.
Configurar la compatibilidad de protocolos Los protocolos basados en IP se admitían de forma Cree una definición de protocolo en la que
basados en IP. limitada. especifique cualquiera de los protocolos
siguientes: TCP, UDP, ICMP o protocolo de nivel de
IP. Si selecciona el nivel de IP, puede especificar
cualquier protocolo de nivel inferior.
Configurar redes privadas virtuales. Utilice los asistentes de VPN para configurar redes Configure y habilite las propiedades de VPN y
privadas virtuales de cliente a enrutador o de supervise las conexiones VPN.
enrutador a enrutador.
Configurar las propiedades de peticiones En las propiedades de la matriz, haga clic en la Cada red tiene su propia escucha, el adaptador de
de Web salientes. ficha Peticiones de web salientes y configure red responsable de la escucha de las peticiones
las propiedades de la escucha. pertenecientes a dicha red.
Configurar propiedades de peticiones de En las propiedades de la matriz, haga clic en la Las escuchas de web se utilizan como parte de
Web entrantes. ficha Peticiones de Web entrantes y configure cada regla de publicación de Web. Al configurar
las propiedades de la escucha. una regla de este tipo, se especifica qué escucha
de web se utiliza para ella.

Volver a Contenido
3.6 Equipos servidor ISA con un único adaptador de red
Puede instalar el servidor ISA en equipos con un adaptador de red único. Normalmente, llevará a cabo esta tarea cuando otro servidor de
seguridad se encuentre en los límites de la red, conectando los recursos de la empresa a Internet. En este escenario de un adaptador único, el
servidor ISA se suele utilizar para almacenar en caché el contenido de Internet a fin de que lo usen los clientes de la red corporativa.
3.6.1 Red interna

Una de las características fundamentales del servidor ISA es su capacidad para conectarse a varias redes. Al instalar el servidor ISA en un
equipo con un adaptador único, sin embargo, reconoce sólo una red: la red interna. La red interna está formada por todas las direcciones IP, con
las siguientes excepciones: 0.0.0.0, 255.255.255.255 y el intervalo de direcciones 127.0.0.0-127.255.255.255.
3.6.2 Instalación del servidor ISA en un equipo con un solo adaptador

Como parte del proceso de instalación, especifique las direcciones de la red interna. Al instalar el servidor ISA en un equipo con un solo
adaptador de red, asegúrese de incluir todas las direcciones menos 0.0.0.0, 255.255.255.255, tampoco incluya el intervalo de direcciones
127.0.0.0-127.255.255.255.
Puede utilizar la plantilla de red de adaptador de red único para configurar el equipo servidor ISA con adaptador único. Para utilizar la plantilla,
en Administración del servidor ISA, expanda el nodo Configuración y seleccione Redes. En el panel de tareas, en la ficha Plantillas, seleccione
Adaptador de red único para iniciar el Asistente para plantillas de red. Siga los pasos del asistente para completar la configuración. Le
recomendamos que utilice los valores predeterminados proporcionados por este asistente.
3.6.3 Almacenamiento en caché

Puede implementar el servidor ISA en un equipo con un adaptador único como un proxy directo y un servidor de almacenamiento en caché, que
proporciona a los clientes un acceso optimizado a Internet. En este entorno, puede configurar el servidor ISA para mantener una caché
centralizada de objetos de Internet solicitados con frecuencia, accesible para todos los clientes del explorador Web, y que utiliza reglas de
administración de caché. En este entorno, podrá modificar la directiva de servidor de seguridad predeterminada para permitir el acceso interno
de clientes a Internet. Aunque todas las direcciones IP se consideran que están en la misma red interna, el servidor ISA denegará el tráfico Web
debido a la regla predeterminada Deny All (denegar todas). Por tanto, debe crear una regla que permita que el tráfico Web pase entre las redes.
Para habilitar este escenario de almacenamiento en caché, debe crear una regla de acceso que permita que todos los clientes utilicen HTTP, así
como HTTPS y FTP, según convenga. Como la red interna está definida exclusivamente para incluir todas las direcciones, las redes de origen y
de destino de esta regla deberían ser internas.
3.6.4 Funcionalidad del modo de adaptador único

Al instalar el servidor ISA en un equipo con un adaptador único, no pueden utilizarse las siguientes características del servidor ISA:
● Clientes del servidor de seguridad
● Redes privadas virtuales
● Filtrado de paquetes IP
● Directiva de servidor de seguridad de redes múltiples
● Publicación del servidor
● Filtrado del nivel de aplicación
Esto puede producir que la función de seguridad del servidor ISA se vea limitada.
Volver a Contenido
4.0 Tutorial acerca de las características
El servidor ISA admite un entorno muy adaptable de múltiples redes y permite conectar de forma segura muchas redes con permisos de acceso
que pueden variar. En las siguientes secciones, se describen algunos escenarios de ejemplo que muestran el entorno y la funcionalidad de
múltiples redes. Observe que los escenarios no muestran el ámbito completo de las nuevas características incluidas en esta versión. Más bien,
muestran algunos de los escenarios de servidor de seguridad más habituales que puede implementar mediante el servidor ISA. Al llevar a cabo
los pasos del tutorial en un entorno de laboratorio sencillo, puede familiarizarse y sentirse cómodo con algunas de las características de ISA
Server 2004 y con la interfaz de usuario.
Le aconsejamos que siempre cree la configuración del servidor ISA en un entorno de laboratorio antes de probarla en producción.
En los escenarios se supone una configuración de laboratorio que conecta una red interna con Internet. Se publican varios servidores en una red
perimetral, también denominada DMA, zona desmilitarizada o subred protegida. Los clientes de la red privada virtual (VPN) pueden tener acceso
a los recursos de la red interna. Le recomendamos que configure tres redes aisladas en un entorno de laboratorio antes de implementar una
solución en un entorno de producción. El laboratorio utilizado en este tutorial de características está formado por los siguientes elementos:
● Una red que simula la red corporativa, denominada RedCorp. En el tutorial, RedCorp incluye este intervalo de direcciones: de 10.0.0.0 a

10.255.255.255.
● Una red que simula Internet, denominada InternetSimul. En el tutorial, InternetSimul incluye este intervalo de direcciones: de
192.168.0.0 a 192.168.255.255.
● Una red perimetral, denominada RedPerimetral. En el tutorial, RedPerimetral incluye este intervalo de direcciones: de 172.16.0.0 a
172.31.255.255.
En la siguiente ilustración se muestra el entorno del escenario.
La ilustración muestra los siguientes equipos:

● Dos equipos cliente, a los que se hace referencia como ClienteInterno1 y ClienteInterno2, con Windows® XP instalado. Hay tres equipos
en el dominio RedCorp.
● Un servidor, al que se hace referencia como ServidorWebInterno, con Windows Server 2003 y Servicios de Internet Information Services
(IIS) instalados. Este equipo está en el dominio RedCorp.
● Se supone que un controlador de dominio está ubicado en RedCorp. El controlador de dominio se utiliza para la autenticación de clientes.
● Hay un equipo, al que se hace referencia como Perímetro_IIS, con Windows Server 2003 instalado. IIS también está instalado en este
equipo. El equipo está en el dominio RedPerimetral.
● Hay un equipo, al que se hace referencia como Externo1, con Windows Server 2003 e IIS instalados. Este equipo está en InternetSimul.
● Un servidor Web, al que se hace referencia como ServidorWebExterno. Este equipo está en InternetSimul.
● Hay un equipo, al que se hace referencia como ISA_1, con Windows Server 2003 e ISA Server 2004 instalados. Tiene tres adaptadores de
red instalados:
❍ La dirección IP del adaptador conectado a RedCorp es 10.0.0.1.
❍ La dirección IP del adaptador conectado a RedPerimetral es 172.16.0.1.
❍ La dirección IP del adaptador conectado a InternetSimul es 192.168.0.1.
Nota: No hay servidores DNS descritos en la configuración. En el escenario, se supone que está instalado un servidor DNS en el controlador de
dominio de RedCorp. Asimismo, se supone que existe una resolución de nombres en cada red, pero no entre las redes.
La configuración sería parecida en un entorno de producción. Las diferencias radicarían en el uso de la red externa definida del servidor ISA
predeterminado, que representa Internet, en vez de en InternetSimul, y en el uso de los intervalos de direcciones IP reales de las redes interna
y perimetral.
Se necesitan distintos equipos para probar los diversos escenarios. En la siguiente tabla se muestran los equipos necesarios para cada escenario.
Escenario Equipos necesarios

4.1 Exportar una configuración ISA_1
4.2 Obtener acceso a Internet desde la red interna ISA_1, ClienteInterno1, ServidorWebExterno
4.3 Crear y configurar un conjunto de equipos restringido ISA_1, ClienteInterno2, Externo1
4.4 Crear una red perimetral mediante el Asistente para plantillas de red ISA_1
4.5 Publicar un servidor Web en la red perimetral ISA_1, Externo1, Perímetro_IIS
4.6 Publicar un servidor Web en la red interna ISA_1, ServidorWebInterno, Externo1
4.7 Configurar redes privadas virtuales ISA_1, Externo1, ClienteInterno1
4.8 Modificar la directiva del sistema ISA_1
4.9 Importar una configuración ISA_1

Antes de que empiece a configurar los siguientes escenarios, compruebe que las tablas de enrutamiento de los equipos están configuradas
adecuadamente. En cada red, la puerta de enlace predeterminada se debe establecer en la dirección IP del adaptador del equipo servidor ISA
para dicha red. Por ejemplo, para establecer la puerta de enlace predeterminada de Perímetro_IIS, escriba lo siguiente en el símbolo del sistema
del equipo de Perímetro_IIS:
route add 0.0.0.0 MASK 0.0.0.0 172.16.0.1
Volver a Contenido
4.1 Escenario 1: exportar una configuración
En este escenario se muestra la característica de exportación del servidor ISA. Puede guardar toda la configuración del equipo servidor ISA, o
partes de ella, en un archivo .xml. De esta forma, puede duplicar toda o parte de una configuración de un equipo servidor ISA a otro, o bien
preservar una configuración antes de realizar cambios sustanciales, para poder revertir a una configuración anterior.
En este escenario, exportará la configuración del equipo servidor ISA a un archivo .xml antes de efectuar alguno de los cambios asociados a los
escenarios siguientes. Para exportar la configuración, realice los siguientes pasos:
1. Abra Microsoft ISA Server Management y haga clic en ISA_1.
2. En el panel de tareas, en la ficha Tareas, haga clic en Exportar la configuración del servidor ISA a un archivo. De esta forma
exportará la configuración de ISA_1, tal y como está en el momento de la exportación.
3. En Exportar configuración, en Guardar, seleccione la ubicación en la que desee guardar el archivo de exportación. En Nombre de
archivo, escriba el nombre de archivo del archivo .xml al que desee exportar la configuración, como MiConfigPred.xml, y haga clic
en Exportar.
Notas Puede decidir exportar la configuración de los permisos de usuario seleccionando Exportar configuración de permisos de
usuario. Esta configuración contiene las funciones de seguridad de los usuarios del servidor ISA, por ejemplo, que indican los
usuarios con permisos administrativos.
Si desea exportar información confidencial, seleccione Exportar información confidencial. Si lo hace, la información confidencial
se cifrará durante el proceso de exportación. Si exporta información confidencial, se le indicará que proporcione una contraseña
durante el proceso de exportación. Necesitará esta contraseña cuando importe la configuración de la directiva de servidor de
seguridad.
4. Una vez finalizada la operación de exportación, haga clic en Aceptar para cerrar el cuadro de diálogo de estado.
Volver a Contenido
4.2 Escenario 2: obtener acceso a Internet desde la red interna
En este escenario, los clientes internos necesitan una conectividad segura a Internet. Se necesitan los siguientes equipos:
● ISA_1, con dos adaptadores de red como mínimo
● ClienteInterno1, en RedCorp, para probar el escenario
● ServidorWebExterno, en InternetSimul, para probar el escenario
El objetivo es tener acceso a ServidorWebExterno desde ClienteInterno1 a través de ISA_1.

La tabla de enrutamiento de ClienteInterno1 enruta todas las peticiones de direcciones externas a la dirección IP interna del equipo servidor ISA,
la dirección IP de la tarjeta adaptadora de red que está conectada a la red interna. El equipo servidor ISA actúa como la puerta de enlace
predeterminada para todas las peticiones que desde la red interna solicitan direcciones IP externas.
En las siguientes secciones se describe la configuración de la solución:
● 4.2.1 Configurar la red interna
● 4.2.2 Crear reglas de red
● 4.2.3 Crear reglas de directiva
● 4.2.4 Probar el escenario
4.2.1 Configurar la red interna

Como parte del proceso de instalación, especificó el intervalo de direcciones en la red interna y, por tanto, configuró esta red. Compruebe que la
configuración es válida y que la red interna contiene sólo las direcciones de RedCorp. En ISA_1, realice los pasos siguientes:
1. Inicie Microsoft ISA Server Management, expanda ISA_1, expanda el nodo Configuración y, a continuación, haga clic en Redes.
2. En el panel de detalles, en la ficha Redes, se muestran los intervalos de direcciones incluidos en cada red.

3. Compruebe que sólo están incluidas las direcciones IP de los equipos de la red corporativa en la red interna.
Nota: Si es necesario, puede volver a configurar la red interna haciendo doble clic en Interna en la ficha Redes para abrir el
cuadro de diálogo Propiedades internas Seleccione la ficha Direcciones y, a continuación, utilice los botones Agregar y Quitar
para agregar o quitar los intervalos de direcciones de la red. También puede usar el botón Agregar adaptador para agregar todos
los intervalos de direcciones IP asociados a un adaptador de red en particular, o el botón Agregar privado con el fin de agregar
intervalos de direcciones privados.
4. Haga doble clic en Interna en la ficha Redes para abrir el cuadro de diálogo Propiedades internas. En la ficha Proxy Web,
compruebe que están seleccionadas las opciones Habilitar clientes proxy web y Habilitar HTTP, que está especificada la opción
Puerto HTTP, 8080 y, a continuación, haga clic en Aceptar .
4.2.2 Crear reglas de red

Como parte del proceso de instalación, se ha creado una regla de red de acceso a Internet predeterminada. Esta regla define una relación entre
las redes interna y externa. Para comprobar la configuración de la regla, realice los siguientes pasos:
1. Expanda el nodo Configuración y después haga clic en Redes.
2. En la ficha Reglas de red, haga doble clic en la regla Acceso a Internet para que se muestre el cuadro de diálogo Propiedades de
acceso a Internet .
3. En la ficha Redes de origen, compruebe que aparece Interna. De lo contrario, haga lo siguiente:
b. En Agregar entidades de red, haga clic en Redes, en Interna, en Agregar y, a finalmente, en Cerrar.
4. En la ficha Redes de destino, compruebe que aparece Externa. De lo contrario, haga lo siguiente:
b. En Agregar entidades de red, haga clic en Redes, en Externa, en Agregar y, a finalmente, en Cerrar.
5. En la ficha Relación de redes, seleccione Traducción de direcciones de red (NAT).
6. Haga clic en Aceptar.
7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios, en caso de haber realizado alguno.
4.2.3 Crear reglas de directiva

Para permitir el acceso de los clientes internos a Internet, debe crear una regla de acceso para que estos clientes puedan utilizar los protocolos
HTTP y HTTPS. Realice los pasos siguientes:
1. Haga clic en Directiva de firewall. En el panel de tareas, seleccione la ficha Tareas y haga clic en Crear nueva regla de acceso
para iniciar el Asistente para nueva regla de acceso.
2. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Permitir a los clientes internos acceso HTTP y
HTTPS a Internet. A continuación, haga clic en Siguiente.
3. En la página Acción de la regla, seleccione Permitir y después haga clic en Siguiente.
4. En la página Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuación, haga clic en
Agregar.
5. En el cuadro de diálogo Agregar protocolos, expanda Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, en
Agregar y, finalmente, haga clic en Cerrar. A continuación, haga clic en Siguiente.
6. En la página Orígenes de regla de acceso, haga clic en Agregar.
7. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Interna. Haga clic en Agregar
y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.
8. En la página Destinos de regla de acceso, haga clic en Agregar.
9. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Externa. Haga clic en Agregar
10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. A continuación, haga clic en
Siguiente.
11. Revise la página de resumen y después haga clic en Finalizar.
12. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados. Observe que pueden pasar unos segundos antes de
que se apliquen los cambios.
4.2.4 Probar el escenario

Para comprobar que el escenario funciona, ClienteInterno1 tendrá acceso a ServidorWebExterno en la red externa (InternetSimul).

En ClienteInterno1, realice los siguientes pasos:

1. En ClienteInterno1, abra Internet Explorer 6.0.
2. En Internet Explorer, haga clic en el menú Herramientas y, a continuación, en Opciones de Internet.
3. En la ficha Conexiones, haga clic en Configuración de LAN.
4. En Servidor proxy, active la casilla de verificación Utilizar un servidor proxy para su LAN.
5. En Dirección, escriba el nombre de equipo de ISA_1 y, en Puerto, escriba 8080. Si no hay ningún servidor DNS en la configuración
de laboratorio, utilice la dirección IP de ISA_1 en vez de su nombre.
6. Compruebe que no está activada la casilla Detectar la configuración automáticamente.
7. Cierre Internet Explorer. Después vuelva a iniciarlo.
8. En Internet Explorer, en Dirección, escriba la dirección IP de ServidorWebExterno.

Observe que si está disponible un servidor DNS para la resolución de nombres en InternetSimul, puede escribir el nombre de dominio
completo (FQDN) de ServidorWebExterno.
Si el explorador muestra la página Web publicada en ServidorWebExterno, ClienteInterno1 obtuvo acceso a ServidorWebExterno y ha
configurado correctamente este escenario.
Volver a Contenido
4.3 Escenario 3: crear y configurar un conjunto de equipos restringido
En este escenario creará un conjunto de equipos en la red interna y le denegará el acceso a Internet. Se necesitan los siguientes equipos:
● ISA_1 con dos adaptadores de red como mínimo.
● ClienteInterno2 en RedCorp.
● ServidorWebExterno, en InternetSimul, para probar el escenario.
En las siguientes secciones se describe la configuración de la solución:

● 4.3.1 Configurar el conjunto de equipos restringido
● 4.3.2 Restringir el acceso a Internet
4.3.1 Configurar el conjunto de equipos restringido

En el siguiente ejemplo se utilizan las direcciones IP asociadas a la red interna de implementación del laboratorio: de 10.0.0.0 a
10.255.255.255. En el ejemplo, creará un conjunto de equipos que contienen las direcciones IP 10.54.0.0–10.55.255.255, lo que incluye
ClienteInterno2. Realice los pasos siguientes:
1. Abra Microsoft ISA Server Management, expanda ISA_1 y haga clic en Directiva de firewall.
2. En el panel de tareas, seleccione la ficha Herramientas, elija Objetos de red, haga clic en Nuevo y después seleccione Conjunto de
equipos.
3. En Nombre, escriba el nombre del nuevo conjunto de equipos, como Conjunto de equipos restringido.
4. Haga clic en Agregar y seleccione Intervalo de direcciones.
5. En el cuadro de diálogo Nuevo elemento de regla de intervalo de direcciones, proporcione un nombre para el intervalo de
direcciones, como Intervalo de conjunto de equipos restringido. Proporcione un intervalo de direcciones IP que incluya la dirección
de ClienteInterno2, como 10.54.0.0–10.55.255.255 y, a continuación, haga clic en Aceptar.
6. Haga clic en Aceptar para cerrar el cuadro de diálogo Nuevo elemento de regla de conjunto de equipos.
7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
8. Guarde la configuración de la red en un archivo .xml, de forma que si efectúa un cambio en la configuración que cambie o destruya
este objeto de red, pueda recuperar su configuración. En el panel de tareas, en la ficha Herramientas, seleccione Objetos de red,
expanda Conjuntos de equipos, haga clic con el botón secundario del mouse (ratón) en el conjunto de equipos que acaba de definir y
seleccione Exportar lo seleccionado. Elija una ubicación en la que guardar el archivo que contiene la información de configuración y
un nombre que describa su contenido, como Archivo de exportación de conjunto de equipos restringido. Haga clic en Exportar
para exportar la configuración.
4.3.2 Restringir el acceso a Internet

Ya puede crear una regla de acceso que deniegue el acceso a Internet al conjunto de equipos. Observe que el orden de las reglas de acceso
influirá en la posibilidad de que el conjunto de equipos pueda tener acceso a Internet. El servidor ISA lee las reglas de acceso en orden y

permitirá el acceso si lee la regla de permitir de la red interna antes de leer la regla de denegación de conjunto de equipos restringido.
Para crear una regla de acceso que deniegue el acceso desde el conjunto de equipos restringido a la red externa, realice los siguientes pasos:
1. Haga clic en Directiva de firewall. En el panel de tareas, seleccione la ficha Tareas y haga clic en Crear nueva regla de acceso
para iniciar el Asistente para nueva regla de acceso.
2. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Denegar el acceso HTTP y HTTPS a Internet al
conjunto de equipos restringido. A continuación, haga clic en Siguiente.
3. En la página Acción de la regla, seleccione Denegar y después haga clic en Siguiente.
4. En la página Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuación, haga clic en
Agregar.
5. En el cuadro de diálogo Agregar protocolos, haga clic en Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, en
Agregar y, finalmente, haga clic en Cerrar. A continuación, haga clic en Siguiente.
7. En el cuadro de diálogo Agregar entidades de red, haga clic en Conjunto de equipos y, a continuación, seleccione Conjunto de
equipos restringido Haga clic en Agregar y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.
9. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Externa. Haga clic en Agregar
10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. A continuación, haga clic en
Siguiente.
13. Guarde la regla en un archivo .xml por si efectúa un cambio básico, como ejecutar un Asistente para plantillas de red, para que pueda
importar la regla. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la regla que acaba de definir y
seleccione Exportar lo seleccionado. Elija una ubicación en la que guardar el archivo que contiene la información de regla y un
nombre que describa su contenido, como Regla denegar Internet a conjunto de equipos restringido.xml. Haga clic en Exportar
para exportar la regla.

Para comprobar que el escenario funciona, ClienteInterno2 en Conjunto restringido de equipos tratará de obtener acceso a ServidorWebExterno
en la red externa, InternetSimul.
En ClienteInterno2, realice los siguientes pasos:
1. En ClienteInterno2, abra Internet Explorer 6.0.
2. En Internet Explorer, haga clic en el menú Herramientas y, a continuación, en Opciones de Internet.
3. En la ficha Conexiones, haga clic en Configuración de LAN.
4. En Servidor proxy, active la casilla de verificación Utilizar un servidor proxy para su LAN.
5. En Dirección, escriba el nombre del equipo (o la dirección IP, si no tiene ningún servidor DNS configurado) de ISA_1 y en Puerto,
escriba 8080.
6. Compruebe que no está activada la casilla Detectar la configuración automáticamente.
7. Cierre Internet Explorer. Después vuelva a iniciarlo.
8. En Internet Explorer, en Dirección, escriba la dirección IP de ServidorWebExterno.

Nota Si dispone de un servidor DNS para la resolución de nombres en InternetSimul, puede escribir el FQDN de ServidorWebExterno.
Si el explorador muestra una página de denegación de acceso, ha configurado el conjunto de equipos y la regla de denegación correctamente.
La regla de denegación de acceso creada aparece primero en la lista de reglas de acceso en el panel de detalles Directiva de firewall. Si la coloca
debajo de la regla Permitir a los clientes internos acceso HTTP y HTTPS a Internet (creada en el escenario anterior), el servidor ISA
evaluará primero esta regla y los equipos de Conjunto de equipos restringido obtendrán acceso a Internet. Para cambiar el orden de la regla de
denegación, haga clic con el botón secundario del mouse (ratón) en la regla y seleccione Bajar. Después de bajar esta regla de denegación
colocándola debajo de la regla de permitir y aplicar los cambios haciendo clic en el botón Aplicar en el panel de detalles, vuelva a probar el
acceso a Internet. Ahora ClienteInterno2 debe tener acceso a Internet.
Si el explorador muestra la página Web publicada en ServidorWebExterno, ClienteInterno2 obtuvo acceso a ServidorWebExterno y ha
configurado correctamente este escenario.
Volver a Contenido

4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red
En este escenario, utilizará el Asistente para plantillas de red con el fin de crear una red perimetral.
Para configurarlo, realizará los siguientes pasos:
● 4.4.1 Crear una red perimetral
● 4.4.2 Restaurar una regla de acceso de conjunto de equipos restringido
4.4.1 Crear una red perimetral

Usará el Asistente para plantillas de red con el fin de crear una red perimetral y establecer un acceso a Internet desde la red interna a Internet.
Para crear una red perimetral, realice los siguientes pasos:
1. En Microsoft ISA Server Management, expanda ISA_1, haga clic en Configuración y, a continuación, haga clic en Redes.
2. En el panel de tareas, en la ficha Plantillas, seleccione Perímetro de 3 secciones. De esta forma se inicia el Asistente para plantillas
de red.
3. En la página Bienvenido, haga clic en Siguiente.
4. En la página Exportar la configuración del servidor ISA, haga clic en Exportar si desea conservar la configuración actual. Con este
paso, puede revertir a la configuración actual importándola del archivo guardado. Si hace clic en Exportar, proporcione una ubicación
y un nombre de archivo descriptivo como Configuración anterior al perímetro de 3 secciones y haga clic en Exportar.
5. En la página Exportar la configuración del servidor ISA, haga clic en Siguiente.
6. En la página Direcciones IP de red interna, utilice los botones Agregar y Quitar para asegurarse de que sólo se muestran las
direcciones IP de la red interna. Entre ellas se incluirían las direcciones IP de ClienteInterno1 y de la tarjeta adaptadora de red de
ISA_1 que conecta a la red interna. Haga clic en Siguiente.
7. En la página Direcciones IP de red perimetral, utilice los botones Agregar y Quitar para asegurarse de que sólo se muestran las
direcciones IP de la red perimetral. Entre ellas se incluirían las direcciones IP de Perímetro_IIS y de la tarjeta adaptadora de red de
ISA_1 que conecta a la red perimetral. Haga clic en Siguiente.
8. En la página Seleccione una directiva de firewall, seleccione Permitir acceso a Web limitado para crear una regla de acceso
desde la red interna a la externa (cuando haya finalizado el asistente) y, a continuación, haga clic en Siguiente.
9. En la página de resumen, revise la configuración de la red y después haga clic en Finalizar.
10. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados mediante el asistente.
Nota: El Asistente para plantillas de red crea dos reglas de red: una que crea una relación de enrutamiento entre las redes
perimetral y externa (la regla Acceso a perímetro) y otra que crea una relación NAT entre las redes interna y perimetral (la regla
Configuración de perímetro). Compruebe que se crearon las reglas seleccionando la ficha Reglas de red del panel de detalles
Redes.
Las relaciones de enrutamiento son bidireccionales. Es decir, el enrutamiento va de origen a destino y viceversa. Las relaciones
NAT son unidireccionales. Es decir, el enrutamiento va de origen a destino.
4.4.2 Restaurar una regla de acceso de conjunto de equipos restringido

Cuando ejecutó el Asistente para plantillas de red y aplicó los cambios, quitó el conjunto de equipos restringido y la regla de acceso de
denegación de acceso al conjunto de equipos restringido a Internet. Podría volver a crearlos o importarlos desde los archivos .xml guardados al
crear el conjunto de equipos restringido y su regla de acceso.
Para importar la configuración, realice los siguientes pasos:
1. En Microsoft ISA Server Management, expanda ISA_1, haga clic con el botón secundario del mouse (ratón) en Directiva de firewall
y seleccione Importar.
2. Proporcione la ubicación y el nombre de archivo de la regla de acceso exportada, como Regla denegar Internet a conjunto de
equipos restringido.xml creado en el escenario 3 y, a continuación, haga clic en Importar. Cuando termine la importación, haga clic
en Aceptar.
Nota Al importar una regla de acceso, también importa los elementos de regla a los que hace referencia, por lo que no hay
necesidad de importar el conjunto de equipos por separado. Puede importar estos elementos por separado si hace clic con el botón
secundario del mouse (ratón) en el tipo de elemento de regla del panel de tareas, en la ficha Herramientas y selecciona
Importar todos .
Volver a Contenido
4.5 Escenario 5: publicar un servidor Web en la red perimetra
En este escenario, se pondrá a disposición de los usuarios de Internet un servidor Web ubicado en la red perimetral.

Utilice las reglas de publicación de Web para publicar servidores Web. Estas reglas requieren escuchas de web, que atienden las peticiones de
Web.
Se necesitan los siguientes equipos:
● ISA_1, con tres adaptadores de red como mínimo.
● Perímetro_IIS, en RedPerimetral, para probar el escenario.
● Externo1, en InternetSimul, para probar el escenario.

● 4.5.1 Crear una regla de publicación de Web
4.5.1 Crear una regla de publicación de Web

Para crear una regla de publicación de Web que permita al equipo cliente de Internet (Externo1) tener acceso a un servidor Web de la red
perimetral (Perímetro_IIS), realice los siguientes pasos:
1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Directiva de firewall.
2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla de
publicación de web.
3. En la página Bienvenido, en Nombre de la regla de publicación de Web, escriba el nombre de la regla: Allow External to
Perimeter_IIS. Haga clic en Siguiente.
4. En la página Seleccionar acción de regla, seleccione Permitir y después haga clic en Siguiente.
5. En la página Definir sitio Web para publicar, en Dirección IP o nombre del equipo, escriba la dirección IP o el nombre del equipo
del servidor Web que se va a publicar y, a continuación, haga clic en Siguiente.
Nota: en la página Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta específica para publicar.
6. En la página Detalles de nombre público, compruebe que está seleccionada la opción Este nombre de dominio. En el cuadro de
texto situado debajo de Este nombre de dominio, escriba el nombre de dominio público o la dirección IP del sitio Web publicado. Es
lo que escribirá el usuario en el campo de dirección del explorador para tener acceso al sitio Web. En una configuración de laboratorio
donde no hay ningún nombre que se resuelva, utilice la dirección IP del adaptador de red externo del equipo servidor ISA. Puede
especificar una carpeta, que se anexará al nombre y que se muestra en Sitio. Haga clic en Siguiente.
7. En la página Seleccionar escucha de Web, haga clic en Nueva para iniciar el Asistente para nueva escucha de web.
8. En la página Bienvenido de este asistente, en Nombre de la escucha web, escriba el nombre de la escucha de web: Listen on
Port 80 of External Network. A continuación, haga clic en Siguiente.
9. En la página Direcciones IP, seleccione Externa y después haga clic en Siguiente. Esta escucha atenderá las peticiones de la red
externa.
10. En la página Especificación de puerto, en Puerto HTTP, escriba 80. También puede seleccionar Habilitar SSL y un puerto SSL si
desea publicar en HTTPS. En este caso, deberá seleccionar un certificado en esta página mediante el botón Seleccionar. Haga clic en
Siguiente.
11. Revise la página de resumen y, a continuación, haga clic en Finalizar para cerrar el asistente.
12. En la página Seleccionar escucha de web, haga clic en Siguiente.
13. En la página Conjuntos de usuarios, compruebe que aparece Todos los usuarios en Esta regla se aplica a las solicitudes de los
siguientes conjuntos de usuarios. Haga clic en Siguiente.
Nota: Puede crear y modificar las escuchas de web independientemente de las reglas de publicación de Web. El acceso a las
escuchas de web existentes se realiza mediante la carpeta Escuchas de Web de la ficha Herramientas del panel de tareas
Directiva de firewall. Para crear una nueva escucha de web, en el panel de tareas Directiva de firewall, en la ficha Herramientas,
haga clic en Nueva y, a continuación, seleccione Escucha de web.

Para comprobar que el escenario funciona, el cliente externo, Externo1, obtendrá acceso a Perímetro_IIS, el servidor HTTP ubicado en la red
perimetral, RedPerimetral. En Externo1, realice los siguientes pasos:
1. Abra Internet Explorer.
2. Compruebe que no está configurado ningún cliente proxy. Para ello, en el menú Herramientas, seleccione Opciones de Internet. En
la ficha Conexiones, haga clic en Configuración de LAN. Compruebe que no está activada ninguna de las siguientes casillas de
verificación: Detectar la configuración automáticamente, Usar secuencia de comandos de configuración automática ni Usar
un servidor proxy para su LAN. Haga clic en Aceptar para cerrar Opciones de Internet.

3. En Dirección, escriba la dirección IP del adaptador de red externo del equipo servidor ISA.
Si el cliente obtuvo acceso al sitio Web predeterminado en Perímetro_IIS, ha configurado correctamente este escenario.
Volver a Contenido
4.6 Escenario 6: publicar un servidor Web en la red interna
En este escenario, se pondrá a disposición de los usuarios de Internet un servidor Web ubicado en la red interna. Se necesitan los siguientes
equipos:
● ISA_1, con dos adaptadores de red disponibles como mínimo.
● ServidorWebInterno como el servidor Web, para probar el escenario.
● Externo1 en InternetSimul como el cliente externo, para probar el escenario.

● 4.6.1 Crear reglas de red
● 4.6.2 Publicar el servidor Web
4.6.1 Crear reglas de red

Antes de comprobar la regla de red que define la relación de red entre las redes interna y externa, consulte la sección 4.2.1 para obtener
instrucciones sobre validación de la configuración de la red interna.
Al instalar, se creó una regla de red predeterminada, que define la relación NAT de la red interna a la externa. En ISA_1, para comprobar que la
regla de red está configurada correctamente, realice estos pasos:
1. En Microsoft ISA Server Management, expanda ISA_1, expanda el nodo Configuración y, a continuación, haga clic en Redes
para ver el panel de detalles Redes.
2. En el panel de detalles, haga clic en la ficha Reglas de red. Puede comprobar la regla en el panel de detalles o abrir las propiedades
de la regla de la forma descrita en los siguientes pasos.
3. Haga doble clic en la regla Acceso a Internet para abrir Propiedades de acceso a Internet.
4. En la ficha General, compruebe que está habilitada la regla.
5. En la ficha Redes de origen, asegúrese de que aparece la red interna.
6. En la ficha Redes de destino, asegúrese de que aparece la red externa.
7. En la ficha Relación de redes, asegúrese de que está seleccionada la opción Traducción de direcciones de red.
4.6.2 Publicar el servidor Web

Utilice las reglas de publicación de Web para que los clientes externos puedan tener acceso al servidor Web ubicado en la red interna.
La publicación del servidor Web requiere que cree una regla de publicación de Web. Durante el proceso de creación de esta regla, también
creará una escucha de web que especifique las direcciones IP en las que el servidor ISA atenderá las peticiones del sitio Web interno. Si aún
tiene la escucha creada para el escenario de publicación de Web, debe utilizarlo en este escenario, en vez de crear uno nuevo.
Nota: Puede crear y modificar las escuchas de web independientemente de las reglas de publicación de Web. El acceso a las escuchas de web
existentes se realiza mediante la carpeta Escuchas de Web de la ficha Herramientas del panel de tareas Directiva de firewall. Para crear una
nueva escucha de web, en el panel de tareas Directiva de firewall, en la ficha Herramientas, haga clic en Nueva y, a continuación, seleccione
Escucha de web.
Para crear una regla de publicación de Web que permita al equipo cliente de Internet (Externo1) tener acceso a un servidor Web de la red
interna (ServidorWebExterno), realice los siguientes pasos:
2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla de
publicación de Web.
3. En la página Bienvenido, en Nombre de la regla de publicación de Web, escriba el nombre de la regla: Allow External to
InternalWebServer. Haga clic en Siguiente.
4. En la página Seleccionar acción de regla, seleccione Permitir y después haga clic en Siguiente.
5. En la página Define sitio Web para publicar, en Dirección IP o nombre del equipo, escriba la dirección IP o el nombre del equipo
del servidor Web que se va a publicar. En una configuración de laboratorio donde no hay ningún nombre que se resuelva, utilice la
dirección IP del adaptador de red externo del equipo servidor ISA. Haga clic en Siguiente.
Nota: en la página Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta específica para publicar. En una
configuración de laboratorio en la que no hay ningún servidor DNS, utilizaría las mismas direcciones IP para identificar los

servidores Web tanto perimetral como interno, de tal forma que sólo habrá uno disponible a la vez, basándose en la regla que
aparece primero en el orden de reglas. En un entorno de producción, o en una implementación de laboratorio con un servidor DNS,
el uso de nombres que se resuelven mediante un servidor DNS eliminaría este problema.
6. En la página Detalles de nombre público, compruebe que está seleccionada la opción Este nombre de dominio. En el cuadro de
texto situado debajo de Este nombre de dominio, escriba el nombre de dominio público o la dirección IP del sitio Web publicado. Es
lo que escribe el usuario en el campo de dirección del explorador para tener acceso al sitio Web. Puede especificar una carpeta, que se
anexará al nombre y que se muestra en Sitio. Haga clic en Siguiente.
7. En la página Seleccionar escucha de web, haga clic en Nueva para iniciar el Asistente para nueva escucha de web.
8. En la página Bienvenido de este asistente, en Nombre de la escucha web, escriba el nombre de la escucha de web: Listen on
Port 80 of External Network. A continuación, haga clic en Siguiente.
9. En la página Direcciones IP, seleccione Externa y después haga clic en Siguiente. Esta escucha atenderá las peticiones de la red
externa.
10. En la página Especificación de puerto, en Puerto HTTP, escriba 80. También puede seleccionar Habilitar SSL y un puerto SSL si
desea publicar en HTTPS. En este caso, deberá seleccionar un certificado en esta página mediante el botón Seleccionar. Haga clic en
Siguiente.
12. En la página Seleccionar escucha de web, haga clic en Siguiente.
13. En la página Conjuntos de usuarios, compruebe que aparece Todos los usuarios en Esta regla se aplica a las solicitudes de los
siguientes conjuntos de usuarios. Haga clic en Siguiente.

Para comprobar que el escenario funciona, el cliente externo, Externo1, obtendrá acceso a ServidorWebInterno, el servidor HTTP ubicado en la
red interna (RedCorp). ISA_1 atenderá las peticiones en nombre de ServidorWebInterno y las enviará de acuerdo con la regla de publicación de
Web a ServidorWebInterno.
En Externo1, realice los siguientes pasos:
1. Abra Internet Explorer.
2. En Dirección, escriba la dirección IP del adaptador externo de ISA_1.
Si el cliente obtuvo acceso al sitio Web predeterminado en ServidorWebInterno, ha configurado correctamente este escenario.
Volver a Contenido
4.7 Escenario 7: configurar redes privadas virtuales
En este escenario, el servidor ISA actúa como el servidor de VPN para los clientes remotos que se conectan a la red corporativa (interna). Se
necesitan los siguientes equipos:
● ISA_1, con dos adaptadores de red disponibles como mínimo.
● Externo1 en InternetSimul, el cliente de VPN, para probar el escenario.
● ClienteInterno1, en RedCorp, para probar el escenario.
En las siguientes secciones se describe la configuración del escenario:

● 4.7.1 Habilitar el acceso de clientes de VPN
● 4.7.2 Crear reglas de acceso
● 4.7.3 Crear un usuario de Windows con permisos de acceso telefónico
● 4.7.4 Crear una conexión de acceso telefónico a redes
4.7.1 Habilitar el acceso de clientes de VPN

En este paso, habilitará el acceso de clientes de VPN. Para permitir las conexiones VPN, debe habilitar redes privadas virtuales. El resto de las
propiedades de clientes de VPN asumirán los valores predeterminados. Entre los que se incluye la configuración predeterminada del grupo de
direcciones IP asignadas dinámicamente a la red interna, que estará disponible para los clientes que se conecten al servidor ISA. En esta
solución también se supone un servidor de resolución de nombres asignados dinámicamente que puedan utilizar los clientes de VPN para
resolver los nombres de la red interna.

Para configurar las propiedades de VPN, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Redes privadas virtuales (VPN).
2. En el panel de tareas, en la ficha Tareas, haga clic en Habilitar acceso de clientes de VPN.
Note: Durante la instalación, el servidor ISA crea una regla de red que establece una relación de enrutamiento entre los clientes
de VPN y la red interna. Si desea que algunos clientes de VPN puedan tener acceso a otras redes, debe crear una regla de red
adicional. La relación entre el cliente de VPN y la red interna es una relación de enrutamiento, ya que el objetivo es que el cliente
de VPN se convierta de forma transparente en parte de la red interna y que pueda ver los equipos de esta red.
Si la configuración de laboratorio no incluye ningún servidor DHCP que asigne direcciones IP a los clientes de VPN, para crear un grupo de
direcciones estáticas desde el que se asignarán las direcciones, realice los siguientes pasos:
1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Redes privadas virtuales (VPN).
2. En el panel de tareas, en la ficha Tareas, debajo del título Configuración de VPN general, haga clic en Definir asignación de
direcciones. De esta forma se abre la ficha Asignación de direcciones de la página Propiedades de las redes privadas virtuales
(VPN).
3. Seleccione Grupo de direcciones estáticas.
4. Haga clic en Agregar. En el cuadro de diálogo Propiedades del intervalo de direcciones IP, proporcione un intervalo de
direcciones IP que se asignarán a los clientes de VPN. Observe que estas direcciones no pertenecen al intervalo de direcciones incluidas
en la red interna.
5. Haga clic en Aceptar.
4.7.2 Crear reglas de acceso

Para permitir el acceso de los clientes de VPN a los recursos de la red interna, debe crear una regla de acceso. Realice los pasos siguientes:
2. En el panel de tareas, en la ficha Tareas, haga clic en Crear nueva regla de acceso para iniciar el Asistente para nueva regla de
acceso.
3. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Permitir acceso de clientes de VPN a interna. A
continuación, haga clic en Siguiente.
4. En la página Acción de la regla, seleccione Permitir y después haga clic en Siguiente.
5. En la página Protocolos, en Esta regla se aplica a, seleccione Todos los protocolos salientes, para que los clientes de VPN
puedan tener acceso a la red interna en cualquier protocolo. Haga clic en Siguiente.
7. En Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Clientes de VPN. Haga clic en Agregar y, a
continuación, en Cerrar. En la página Orígenes de regla de acceso, haga clic en Siguiente.
9. En Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Interna. Haga clic en Agregar y, a continuación, en
Cerrar. En la página Destinos de regla de acceso, haga clic en Siguiente.
10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. Haga clic en Siguiente.
Note: Puede restringir los protocolos que los clientes de VPN pueden utilizar al comunicarse con la red interna seleccionando
Protocolos seleccionados en el paso 5. En este caso, asegúrese de incluir el protocolo Consulta DNS, para que los clientes de
VPN puedan resolver los nombres de la red interna.
También podría crear una regla que permitiera que sólo algunos usuarios tuvieran acceso a equipos específicos, o a partes de la
red corporativa definidas por separado desde la red interna.
4.7.3 Crear un usuario de Windows con permisos de acceso telefónico

Para que un cliente de VPN realice una llamada a la red, debe crear un usuario con permisos de acceso telefónico en RedCorp. El usuario puede
ser un usuario de dominio o un usuario local del equipo servidor ISA. El cliente de VPN se autenticará como este usuario. Realice los pasos
siguientes:
1. En ISA_1, abra Administración de equipos haciendo clic con el botón secundario del mouse (ratón) en Mi PC en el escritorio y
seleccionando Administrar.
2. En Administración de equipos, haga clic en Administración del equipo (local), expanda Herramientas del sistema y haga clic en
Usuarios locales y grupos.

3. En el panel de detalles, haga clic con el botón secundario del mouse en Usuarios y, a continuación, haga clic en Usuario nuevo.
4. Escriba los detalles del usuario y, a continuación, haga clic en Crear.
5. En el panel de detalles, haga doble clic en Usuarios para mostrar la lista de usuarios, haga clic con el botón secundario del mouse en
Usuario nuevo y después haga clic en Propiedades.
6. En la ficha Marcado, seleccione Permitir acceso y, a continuación, haga clic en Aceptar.
4.7.4 Crear una conexión de acceso telefónico a redes

El cliente de VPN crea una nueva conexión que se puede utilizar para marcar en la RedCorp. En Externo1, realice los siguientes pasos:
1. Haga clic en Inicio, seleccione Panel de control y, a continuación, haga doble clic en Conexiones de red.
2. En el menú Archivo, seleccione Nueva conexión con el fin de iniciar el Asistente para conexión nueva.
3. En la pantalla Bienvenido, haga clic en Siguiente.
4. En la página Tipos de conexión de red, seleccione Conectarse a la red de mi lugar de trabajo y, a continuación, haga clic en
Siguiente.
5. En la página Conexión de red, seleccione Conexión de red privada virtual y después haga clic en Siguiente.
6. En la página Nombre de conexión, en Nombre de la organización, escriba Conectar a ISA_1y, a continuación, haga clic en
Siguiente.
7. En la página Red pública, seleccione si desea que Windows marque automáticamente la conexión inicial a la red, así como la conexión
que se va a marcar y, a continuación, haga clic en Siguiente.
8. En la página Selección de servidor VPN, en Nombre de host o dirección IP, proporcione la dirección IP de la tarjeta adaptadora
de red externa de ISA_1 y, a continuación, haga clic en Siguiente.
9. En la página Disponibilidad de conexión, seleccione Sólo para mi uso para asegurarse de que la conexión VPN sólo se usará
cuando esté conectado al equipo cliente y, a continuación, haga clic en Siguiente.

Para comprobar que el escenario funciona, el cliente de VPN, Externo1, tendrá acceso a un equipo de la red interna. En Externo1, realice los
siguientes pasos:
1. Haga clic en Inicio, en Conectar a y después en Conectar a ISA_1.
2. En ISA_1\Nombre de usuario, escriba el nombre del usuario creado en la sección 4.7.4. A continuación, haga clic en Conectar.
Si se crea la conexión, ha configurado correctamente este escenario.

Volver a Contenido
4.8 Escenario 8: modificar la directiva del sistema
Le aconsejamos que deshabilite los elementos de la directiva del sistema que no va a utilizar. En este escenario se muestra cómo deshabilitar la
administración remota de Terminal Server del servidor ISA.
Para deshabilitarla, realice los siguientes pasos:
1. En Microsoft ISA Server Management, expanda el nodo del equipo servidor ISA y haga clic en Directiva de firewall.
2. En el panel de tareas, en la ficha Tareas, haga clic en Editar directiva del sistema para abrir el Editor de directivas del sistema.
3. En Grupos de configuración, busque Administración remota y seleccione Terminal Server.
4. En la ficha General, desactive la casilla de verificación Habilitar y después haga clic en Aceptar.
5. En el panel de detalles, haga clic en Aplicar para aplicar los cambios.
Volver a Contenido
4.9 Escenario 9: importar una configuración
En este escenario se muestra la característica de exportación e importación del servidor ISA. Este escenario está relacionado con el Escenario 1,
Exportar una configuración.
Llevará a cabo los siguientes procedimientos:
1. 4.9.1 Exportar la configuración actual

2. 4.9.2 Importar configuraciones antiguas y nuevas
4.9.1 Exportar la configuración actual

Para exportar la configuración actual a un archivo .xml, realice los siguientes pasos:
2. En el panel de tareas, en la ficha Tareas, haga clic en Exportar la configuración del servidor ISA a un archivo. De esta forma
exportará la configuración de ISA_1, tal y como está en el momento de la exportación.
3. En Exportar configuración, en Guardar, seleccione la ubicación en la que desee guardar el archivo de exportación. En Nombre de
archivo, escriba el nombre de archivo del archivo .xml al que desee exportar la configuración, como MiConfigNueva.xml, y haga clic
en Exportar.
Notas: Puede decidir exportar la configuración de los permisos de usuario seleccionando Exportar configuración de permisos
de usuario. Esta configuración contiene las funciones de seguridad de los usuarios del servidor ISA, por ejemplo, que indican los
usuarios con permisos administrativos.
Si desea exportar información confidencial, seleccione Exportar información confidencial. Si lo hace, la información confidencial
se cifrará durante el proceso de exportación. Si exporta información confidencial, se le indicará que proporcione una contraseña
durante el proceso de exportación. Necesitará esta contraseña cuando importe la configuración de la directiva de servidor de
seguridad.
4.9.2 Importar configuraciones antiguas y nuevas

Para importar configuraciones, realice los siguientes pasos:
2. En el panel de tareas, en la ficha Tareas, haga clic en Importar de un archivo de configuración de servidor ISA.
3. En Importar configuración, en Nombre de archivo, escriba o busque el nombre de archivo del archivo .xml creado en el escenario
1 (MiConfigPred.xml) y, a continuación, haga clic en Importar. Si va a importar información confidencial, se le indicará que
proporcione una contraseña en el cuadro de diálogo Escriba la contraseña para abrir el archivo.
Nota: Puede decidir importar la configuración de los permisos de usuario seleccionando Importar configuración de permisos
de usuario. También puede decidir importar la configuración de la unidad de caché y la de uso de certificados SSL seleccionando
Importar configuración de la unidad de caché y certificados SSL. Puede que este procedimiento no sea correcto al copiar
una directiva a otro servidor, ya que estas selecciones tienden a ser específicas de un servidor en particular.
4. Compruebe en el panel de detalles de los nodos Directiva de firewall y Redes que ya no están la red perimetral ni las reglas creadas en
los escenarios 2 a 7. Si es así, la importación se realizó correctamente y el equipo servidor ISA ya está configurado como lo estaba
antes de finalizar los escenarios 2 a 7.
5. Repita el procedimiento; esta vez importe la configuración guardada a MiConfigNueva.xml. Ahora aparecerán la red perimetral y las
reglas creadas en los escenarios 2 a 7.
6. En el panel de detalles, haga clic en Aplicar para aplicar los cambios, si desea que se apliquen los cambios realizados mediante la
operación de restauración.
Volver a Contenido
La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta
a modificaciones sin previo aviso. A menos que se indique lo contrario, las empresas, organizaciones, productos, personas y
eventos descritos en el presente documento son ficticios y no se pretende relacionarlos con ninguna empresa, organización,
producto, persona o evento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables.
Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida
de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún
propósito, sin la previa autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los
derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad industrial
o intelectual sobre el contenido de este documento La entrega de este documento no le otorga ninguna licencia sobre dichas
patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en un
contrato escrito de licencia de Microsoft.
© 2004 Microsoft Corporation. Reservados todos los derechos.
Microsoft, Active Directory, NetMeeting, Outlook, Windows, Windows Media® y Windows NT® son marcas registradas o marcas
comerciales de Microsoft Corporation en Estados Unidos y/o en otros países o regiones.
Volver a Contenido


Manual de Introducción de Microsoft ISA Server 2004

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Manual de Introducción de Microsoft ISA Server 2004

Caricato da

Copyright:

Formati disponibili

Manual de introducción de Microsoft ISA Server 2004

1.1 A quién va dirigido este documento

1.2 Contenido de este documento

2.0 Información general acerca de las características

2.1 Redes múltiples y directiva de servidor de seguridad

2.2 Directiva del sistema

2.3 Integración de VPN

2.4 Usuarios y autenticación

2.6 Exportación e importación de configuración

3.0 Procedimiento de instalación

3.1 Requisitos de instalación

3.2 Requisitos de red

3.3 Procedimiento de instalación

3.4 Configuración predeterminada

3.5 Formas nuevas de realizar tareas habituales

3.6 Equipos servidor ISA con un único adaptador de red

4.0 Tutorial acerca de las características

4.1 Escenario 1: exportar una configuración

4.2 Escenario 2: obtener acceso a Internet desde la red interna

4.3 Escenario 3: crear y configurar un conjunto de equipos restringido

4.5 Escenario 5: publicar un servidor Web en la red perimetra

4.6 Escenario 6: publicar un servidor Web en la red interna

4.7 Escenario 7: configurar redes privadas virtuales

4.8 Escenario 8: modificar la directiva del sistema

4.9 Escenario 9: importar una configuración

1.1 A quién va dirigido este documento

Lea este documento si:

file:///E|/isastart.htm (1 of 24)12/08/2005 08:43:46 a.m.

● Necesita una introducción a las características de ISA Server 2004.

1.2 Contenido de este documento

2.0 Información general acerca de las características

Redes privadas virtuales

file:///E|/isastart.htm (2 of 24)12/08/2005 08:43:46 a.m.

Seguridad y servidor de seguridad

2.1 Redes múltiples y directiva de servidor de seguridad

file:///E|/isastart.htm (3 of 24)12/08/2005 08:43:46 a.m.

2.1.1 Redes y objetos de red

file:///E|/isastart.htm (4 of 24)12/08/2005 08:43:46 a.m.

2.1.2 Reglas de red

Las reglas de red se procesan en orden y para cada red.

2.2 Directiva del sistema

● Cliente del servidor de seguridad

2.3 Integración de VPN

file:///E|/isastart.htm (5 of 24)12/08/2005 08:43:46 a.m.

2.4 Usuarios y autenticación

● Clientes del servidor de seguridad. Kerberos o NTLM.

file:///E|/isastart.htm (6 of 24)12/08/2005 08:43:46 a.m.

Si selecciona la segunda opción, también puede elegir almacenar en caché lo siguiente:

2.6 Exportación e importación de configuración

file:///E|/isastart.htm (7 of 24)12/08/2005 08:43:46 a.m.

dicha regla, y se importarán al importar posteriormente la regla.

3.0 Procedimiento de instalación

3.1 Requisitos de instalación

Para utilizar el servidor ISA, necesita:

● El sistema operativo Microsoft Windows Server™ 2003 o Windows® 2000 Server.

● 256 megabytes (MB) de memoria

3.2 Requisitos de red

3.2.1 Servidor DNS

3.2.2 Servidor DHCP

3.2.3 Configuración de los servidores DNS y DHCP

file:///E|/isastart.htm (8 of 24)12/08/2005 08:43:46 a.m.

3.3 Procedimiento de instalación

Para instalar el software del servidor ISA, siga estos pasos: